acuerdo no. 001-2018 · acuerdo no. 001-2018 31 de agosto de 2018 “por medio del cual se...
TRANSCRIPT
ACUERDO No. 001-2018
31 de Agosto de 2018
“Por medio del cual se establece la Política y Disposiciones generales en materia de Uso, Tratamiento y Protección de Datos Personales de la CORPORACIÓN UNIVERSITARIA
ANTONIO JOSE DE SUCRE – CORPOSUCRE”.
LA SALA GENERAL DE LA CORPORACIÓN UNIVERSITARIA ANTONIO JOSE DE
SUCRE – CORPOSUCRE, - EN USO DE SUS FACULTADES LEGALES Y
ESTATUTARIAS, Y
CONSIDERANDO
Que de conformidad en lo previsto en la Ley 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”, y el decreto 1377 de 2013, “Por el cual se reglamenta parcialmente la Ley 1581 de 2012.”, la Corporación debe responder aspectos relacionados con la autorización del titular de información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al tratamiento de datos personales. Que LA CORPORACION UNIVERSITARIA ANTONIO JOSE DE SUCRE – CORPOSUCRE es una entidad de derecho privado identificada con NIT 823004609 – 9 a quien corresponde actuar bajo los postulados de protección de datos personales en Colombia, señalados por la Ley 1581 de 2012 “Ley General de protección de Datos Personales” y su decreto reglamentario 1377de 2013, en calidad de responsable y encargado del tratamiento de datos personales según el presente acuerdo.
ACUERDA
ARTICULO 1°. Aprobar la Política y disposiciones generales en materia de Uso, Tratamiento y Protección de Datos Personales de la Corporación Universitaria Antonio José de Sucre – CORPOSUCRE, mediante los siguientes artículos:
ARTICULO 2°: - OBJETIVO: La política de tratamiento de la información, tiene por objeto
desarrollar el procedimiento para recolectar, almacenar, usar y realizar cualquier actividad
sobre información que se haya recogido sobre datos personales, en base de datos o
archivos, indicando las actividades a realizar, para mantener la confidencialidad de la
información y el garantizar el correcto uso de los recursos tecnológicos de la institución.
ARTICULO 3º. ALCANCE: Esta Política de Protección de Datos Personales se aplicará
para cualquier registro de datos personales realizado en forma presencial, no presencial
y/o virtual para la vinculación a cualquier servicio por parte de CORPOSUCRE y se aplicará
a todas las Bases de Datos o Archivos que contengan datos Personales que sean objeto
de Tratamiento por parte de CORPOSUCRE considerada como responsable o encargada
del tratamiento de Datos Personales, y quien designara a través de Resolución de Rectoría,
a un colaborador de manejo y confianza para su direccionamiento.
CORPOSUCRE se encarga directamente del tratamiento de los datos Personales; sin
embargo, se reserva el derecho a delegar en un tercero tal tratamiento exigiendo así mismo
al encargado, la atención e implementación de los lineamientos y procedimientos idóneos
para la protección de los datos personales y la estricta confidencialidad de los mismos.
ARTICULO 4°. RESPONSABLE Y ENCARGADO DE ESTE TRATAMIENTO El responsable del tratamiento de las bases de datos objeto de esta política es la CORPORACIÓN UNIVESITARIA ANTONIO JOSE DE SUCRE – CORPOSUCRE, Institución de Educación Superior Privada, con personería jurídica, reconocida mediante Resolución No.2306 del 26 de septiembre de 2003, expedida por el Ministerio de Educación Nacional, representada legalmente por AMAURY NICOLAS VELEZ TRUJILLO, ciudadano colombiano, mayor de edad, con domicilio y residencia en esta ciudad. CORPOSUCRE tiene domicilio en la ciudad de Sincelejo, en la Carrera 21 # 25-59 Barrio La María y Carrera 19 A # 28A - 109 Avenida Alfonso López, y para el tratamiento de los datos, consulta, actualización, revocación y supresión de la información del titular de la misma ha dispuesto los siguientes medios:
Portal web: http://www.corposucre.edu.co/politica-de-proteccion-de-datos Líneas de atención al usuario: PBX: 2820315 Ext 100-164 de lunes a viernes de
8am a 12:00m y 2:00pm a 6:00pm.; y Sábados de 8:00am a 12:00m Correo electrónico para la protección y tratamiento de datos personales:
[email protected] Oficina de atención al usuario: Sincelejo Carrera 19 A # 28A - 109 Avenida Alfonso
López, Dirección de Planeación. ARTÍCULO 5°. OBLIGATORIEDAD: Esta política es de obligatorio y estricto cumplimiento
por parte de todos los estudiantes, empleados de CORPOSUCRE, los contratistas y
terceros que obran en nombre de CORPOSUCRE.
Todos los empleados de CORPOSUCRE deben observar y respetar estas políticas en el cumplimiento de sus funciones. En los casos en que no exista vínculo laboral, se deberá incluir una cláusula contractual para que quienes obren en nombre de CORPOSUCRE se obliguen a cumplir estas políticas.
El incumplimiento de las mismas acarreará sanciones de tipo laboral o responsabilidad
contractual según el caso. Lo anterior, sin perjuicio del deber de responder
patrimonialmente por los daños y perjuicios que cause a los titulares de los datos o a
CORPOSUCRE por el incumplimiento de estas políticas o el indebido tratamiento de datos
personales.
ARTÍCULO 6º. DEFINICIONES: Las siguientes son las definiciones consagradas en la Ley
1581 de 2012, que permitirán conocer el desarrollo de cada uno de los temas planteados
en el presente documento y son indispensables para la protección del habeas data, lo que
contribuye a determinar las responsabilidades de los involucrados en el tratamiento de
datos personales:
BASE DE DATOS: Conjunto de información digital o física, ordenada y almacenada, que es susceptible a tratamiento. DATO PERSONAL: Información vinculada o que se pueda vincular a una o varias personas naturales determinables o no determinables y que puede ser identificada. Por ejemplo: Nombres, dirección, número telefónico, correo eléctrico, estado civil, fotografía, huella dactilar. DATO PERSONAL PRIVADO: Es un dato personal que por su naturaleza íntima o reservada sólo interesa a su titular y para su tratamiento requiere de su autorización expresa. Por ejemplo: Nivel de escolaridad, presencias comerciales, gustos personales, entre otros. DATO PERSONAL SEMIPRIVADO: Son aquellos datos personales que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular, sino a un grupo de personas o a la sociedad en general. En este caso, para su tratamiento se requiere la autorización expresa del titular de la información. Por ejemplo: datos de carácter financiero, datos relativos a las relaciones con las entidades de seguridad social (EPS, AFP, ARL, Cajas de Compensación), sociedades a las que pertenece entre otros. DATO PERSONAL SENSIBLE: Es aquella información que afecta la intimidad de su titular por lo que su uso indebido puede generar su discriminación, tales como aquellas que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como la información relativa a la salud, a la vida sexual y los datos biométricos. Esta información No puede ser objeto de tratamiento a menos que sea requerida para salvaguardar un interés vital del titular o éste se encuentre incapacitado y su obtención haya sido autorizada expresamente. DATO PERSONAL PÚBLICO: Es aquel tipo de dato personal que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria la autorización del titular de la información. Por ejemplo: estado civil de las personas, datos contenidos del RUNT, datos contenidos en sentencias judiciales ejecutoriadas, entre otros.
ENCARGADO DEL TRATAMIENTO: Es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento. RESPONSABLE DEL TRATAMIENTO: Es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos TITULAR: es aquella persona natural, dueña del dato personal y que debe autorizar su tratamiento. En el caso de los menores de edad, sus representantes legales tendrán la facultad de autorizar o no el tratamiento de sus datos personales. TRATAMIENTO: Es cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. TRANSFERENCIA: La transferencia de datos tiene lugar cuando el responsable o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país. TRANSMISIÓN: tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
ARTÍCULO 7º. – PRINCIPIOS: En el desarrollo, interpretación y aplicación de la ley 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:
Principios relacionados con la recolección de datos personales
PRINCIPIO DE LA LEGALIDAD: el Tratamiento de datos es una actividad regulada que
debe sujetarse a lo estableció en la ley y las demás disposiciones que la desarrollen.
PRINCIPIO DE LIBERTAD: el tratamiento solo puede ejercerse con el consentimiento
previo, expreso, e informado del titular. Los datos personales no podrán ser obtenidos o
divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el
consentimiento.
PRINCIPIO DE LIMITACIÓN DE LA RECOLECCIÓN: Sólo deben recolectarse los datos
personales que sean estrictamente necesarios para el cumplimiento de las finalidades del
tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de datos que
no guarden estrecha relación con el objetivo del tratamiento. En consecuencia, debe
hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales
al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii)
acordes con las finalidades para las cuales fueron previstos.
Principios relacionados con el uso de datos personales.
PRINCIPIO DE FINALIDAD: el tratamiento debe obedecer a una finalidad legítima de
acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. En lo
correspondiente a la recolección de datos personales, CORPOSUCRE se limitará a
aquellos datos que sean pertinentes y adecuados para la finalidad con la cual fueron
recolectados o requeridos.
PRINCIPIO DE TEMPORALIDAD: Los datos personales se conservarán únicamente por
el tiempo razonable y necesario para cumplir la finalidad del tratamiento y las exigencias
legales o instrucciones de las autoridades de vigilancia y control u otras autoridades
competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento
de una obligación legal o contractual. Para determinar el término del tratamiento se
considerarán las normas aplicables a cada finalidad y los aspectos administrativos,
contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la (s)
finalidad(es) se procederá a la supresión de los datos
PRINCIPIO DE NO DISCRIMINACIÓN: Queda prohibido realizar cualquier acto de
discriminación por las informaciones recaudadas en las bases de datos o archivos.
PRINCIPIO DE REPARACIÓN: Es obligación indemnizar los perjuicios causados por las
posibles fallas en el tratamiento de datos personales.
Principios relacionados con la calidad de la información.
PRINCIPIO DE VERACIDAD O CALIDAD: la información sujeta a tratamiento debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Se
deberán adoptar medidas razonables para asegurar que los datos sean precisos y
suficientes y, cuando así lo solicite el Titular o cuando CORPOSUCRE lo determine, sean
actualizados, rectificados o suprimidos cuando sea procedente
Principios relacionados con la protección, el acceso y circulación de datos
personales
PRINCIPIO DE SEGURIDAD: la información sujeta a tratamiento por CORPOSUCRE, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias
para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento.
PRINCIPIO DE TRANSPARENCIA: en el tratamiento debe garantizarse el derecho del
titular a obtener del responsable del tratamiento o del encargado del tratamiento, en
cualquier momento y sin restricciones, información acerca de la existencia de datos que le
conciernan.
PRINCIPIO DE ACCESO RESTRINGIDO: Sólo se permitirá acceso a los datos personales
a las siguientes personas: - Al titular del dato - A las personas autorizadas por el titular del
dato - A las personas que por mandato legal u orden judicial sean autorizadas para conocer
la información del titular del dato. - A las demás personas legitimadas según lo indica el
artículo 20 del decreto 1377 de 2013. En todos los casos, antes de dar acceso a los datos
se debe establecer con certeza y suficiencia la identidad de la persona que solicita conocer
los datos personales. Los datos personales, salvo la información pública, no podrán estar
disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el
acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los
titulares o terceros autorizados conforme a la ley y a la presente política.
PRINCIPIO DE CIRCULACIÓN RESTRINGIDA: Sólo se puede enviar o suministrar los
datos personales a las siguientes personas: - Al titular del dato - A las personas autorizadas
por el titular del dato - A las demás personas legitimadas según lo indica el artículo 20 del
decreto 1377 de 2013. - A las entidades públicas o administrativas en ejercicio de sus
funciones legales o por orden judicial, en este último caso, de conformidad con lo
establecido por la Corte Constitucional, se procederá de la siguiente manera: En primer
lugar, la entidad pública o administrativa debe justificar su solicitud indicando el vínculo
entre la necesidad de obtener el dato y el cumplimiento de sus funciones constitucionales
o legales. En segundo lugar, con la entrega de la información se le informará a la entidad
pública o administrativa que debe cumplir los deberes y obligaciones que le impone la ley
1581 de 2012 y sus normas reglamentarias como Responsable del tratamiento. La entidad
administrativa receptora de los datos personales debe cumplir con las obligaciones de
protección y las garantías que se derivan de la citada ley, en especial la observancia de los
principios de finalidad, uso legítimo, circulación restringida, confidencialidad y seguridad.
PRINCIPIO DE CONFIDENCIALIDAD: CORPOSUCRE está obligada a garantizar la
reserva de la información, inclusive después de finalizada su relación con alguna de las
labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de
datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en
la ley.
ARTÍCULO 8º. – TRATAMIENTO Y FINALIDAD: El tratamiento estará enmarcado en el orden legal y en virtud de la condición de “CORPOSUCRE” como Institución de Educación Superior, y serán todos los necesarios para el cumplimiento de la misión institucional de docencia, investigación y extensión. Los datos personales de los titulares (prospectos de estudiantes, inscritos, estudiantes admitidos, matriculados, ausentes, desertores, egresados, empleados, personal inactivo, contratistas, etc.) de los que CORPOSUCRE es responsable y encargado, serán tratados de manera general con la siguiente finalidad:
Programación de eventos, reuniones, citas etc.
Establecer una comunicación directa con el titular. Solitudes referencia personal, comercial o laboral de otros titulares. Respuestas a solicitudes, oportunidades de mejora, peticiones, quejas y
reclamos. Generación de certificados en general. Campañas informativas sobre la normatividad. Campañas comerciales de mercadeo y/o promoción de servicios. Campañas de educación al usuario. Información del estado de relaciones comerciales y servicios ofrecidos. Información de nuevos productos y servicios. Encuestas de satisfacción o sobre temas de interés para la organización. Generación de documentos contables y administrativos (Facturas, órdenes de
compra etc.). Labores de autenticación como pueden ser: credenciales de acceso, datos
biométricos controles de suplantación y acceso a las instalaciones. Información para fines históricos, estadísticos o científicos.
De manera específica tendrán la siguiente finalidad:
Titular Finalidad
ESTUDIANTES Custodia y tratamiento de la información que resulte de trasmites administrativos y académicos, como solicitudes de crédito directo, solicitudes de beca, encuestas, entrevistas psicológicas programación de actividades asociadas a la educación y enseñanza, culturales, recreativas, deportivas, sociales y registro académico, registro biométrico en la firma de matrícula académica y cualquier otra información que resulte de la relación entre el estudiante y CORPOSUCRE.
PROSPECTO DE ESTUDIANTE El tratamiento y recolección de la información de posibles candidatos para ingresar a los diferentes programas de pregrado, posgrado, educación continua, formación empresarial y en general para las actividades que se enmarquen dentro del objeto social y estatutos de CORPOSUCRE.
EGRESADOS Tratamiento y custodia de los datos personales de los egresados, de las actividades que se desarrollen durante el
contacto, seguimiento, caracterización y fidelización del egresado.
ASPIRANTES A UN CARGO ADMINISTRATIVO O ACADEMICO
Tratamiento y custodia de los datos personales de posibles candidatos y contratista durante el proceso de selección de personal de CORPOSUCRE.
PERSONAL ADMINISTRATIVO Y DOCENTE ( Activo e Inactivo)
Tratamiento y Custodita de información como: Hoja de Vida, Certificaciones Laborales, pago de nómina, incapacidades médicas, horario, registro biométrico como control de entrada y salida del personal activo y para la firma de contrato laboral.
BENEFICIARIOS DE LOS COLABORADORES
Tratamiento y Custodia de los datos personales del grupo familiar de los colaboradores, para realizar las afiliaciones correspondientes a EPS, caja de compensación o actividades recreativas y/o relacionadas con los diferentes beneficiarios.
PROVEEDORES Y TERCEROS Tratamiento y custodia de la información que resulte de los procesos de compras y procesos contables; gestión de convenios con el sector externo o partes interesadas.
INVITADOS Y VISITANTES Tratamiento y custodia de los datos personales de los invitados y visitantes a la Institución durante el tiempo que dure su estadía en CORPOSUCRE.
PARAGRAFO 1. Para el tratamiento y custodia, se considera como medio de información las fotografías videos, producciones audiovisuales, formatos en papel etc.) PARAGRAFO 2. Para los datos personales de titulares clasificados como terceros, para los cuales CORPOSUCRE es la institución encargada del tratamiento de datos en favor de estudiantes, proveedores o colaboradores, si la finalidad es distinta de las anteriormente definidas, deben ser especificadas mediante oficio por parte de la entidad responsable del tratamiento y debe ser adjuntada al contrato o solicitud de servicio.
ARTÍCULO 9°. POLÍTICA DE TRATAMIENTO: Al realizar el Tratamiento de los Datos
Personales, CORPOSUCRE cumplirá con los requisitos contenidos en las normas
aplicables y tendrá en cuenta los siguientes lineamientos:
1) La presente Política deberá cumplir en todo momento con lo establecido en las
Normas Aplicables y estará a disposición de los Titulares y terceros que deseen
consultarla.
2) CORPOSUCRE será el Responsable del Tratamiento de los Datos Personales
que sean recolectados. Los Datos Personales generalmente se obtienen
directamente del Titular (o de sus padres, si es menor de edad), quienes
proporcionarán los Datos Personales a través del diligenciamiento de
formularios físicos o web.
3) Los Datos Personales contenidos en las Bases de Datos de CORPOSUCRE
serán manejados bajo estrictas políticas de seguridad y confidencialidad. Para
proteger la confidencialidad de la información personal tratada, CORPOSUCRE
utiliza medidas técnicas y organizativas apropiadas a la delicadeza de la
información. El acceso a la información de carácter confidencial o sensible se
limita al personal de CORPOSUCRE que se haya autorizado para el tratamiento
de los Datos Personales. En el caso en que se evidencie algún riesgo o violación
al Tratamiento de los Datos Personales será responsabilidad de la persona o
área que lo detecte informar de manera inmediata sobre tal riesgo al área
encargada de la protección de Datos Personales de CORPOSUCRE.
4) Según lo permitan las leyes locales, cierta información personal de carácter
general (nombres, direcciones, números de teléfono y correos electrónicos)
podrán distribuirse a los miembros de la comunidad académica y administrativa
de CORPOSUCRE dentro del mismo barrio o zona, siempre que cuente con el
consentimiento previo del Titular.
5) No se podrá recolectar información si el titular no da previa autorización.
6) La entrega de información personal es voluntaria. Al proporcionar información
personal del titular, la persona obtendrá el consentimiento de la otra persona y le
proporcionará acceso al Aviso de Privacidad de Datos. En todo caso de no ser
posible contactar al Titular de los Datos Personales, CORPOSUCRE dejará de
realizar el Tratamiento de los mismos. Este requisito no se aplica cuando los
padres proporcionan información personal a CORPOSUCRE en nombre de sus
hijos menores de edad.
7) CORPOSUCRE, por ser una entidad sin ánimo de lucro, podrá realizar el
Tratamiento de Datos Personales sensibles, es decir de aquellos Datos
Personales que afectan la intimidad del Titular o cuyo uso indebido puede
generar su discriminación o conlleve un riesgo grave para éste de conformidad
con las finalidades establecidas en la presente Política. En todo caso, la
transmisión de dichos datos no se podrá realizar salvo que se cuente con
autorización expresa para tal fin.
8) Así mismo, CORPOSUCRE realizará el Tratamiento de Datos Personales de
niños, niñas y adolescentes, para lo cual deberá contactar a un padre o tutor del
menor para obtener el consentimiento y autorización para el Tratamiento de
dichos Datos Personales. En caso de no haber sido posible obtener el
consentimiento del padre o tutor del menor después de un período razonable de
tiempo, o si el padre o tutor expresamente solicita no usar o no mantener dicha
información, CORPOSUCRE procederá a eliminar dicha información de las
Bases de Datos.
9) El área responsable dentro de CORPOSUCRE para realizar del Tratamiento de los Datos Personales y atender las consultas o reclamos relacionados con los Datos Personales es: La Dirección de Planeación.
10) CORPOSUCRE se reserva el derecho de efectuar modificaciones a la presente
Política. De conformidad con lo establecido en el artículo 5 del Decreto 1377 de
2013, cuando se presenten cambios sustanciales referidos a la identificación del
Responsable y a la finalidad del tratamiento los cuales afecten el contenido de la
autorización, será necesario comunicar dichos cambios al Titular y obtener una
nueva autorización.
ARTÍCULO 10°. DERECHOS QUE LE ASISTEN AL TITULAR DE LA INFORMACIÓN: El
titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a CORPOSUCRE en su
condición de responsable del tratamiento. Este derecho se podrá ejercer, entre
otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan
a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido
autorizado.
b) Solicitar prueba de la autorización otorgada a CORPOSUCRE salvo cuando
expresamente se exceptúe como requisito para el tratamiento (casos en los cuales
no es necesaria la autorización).
c) Ser informado por CORPOSUCRE, previa solicitud, respecto del uso que le ha dado
a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones
a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen,
adicionen o complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento
no se respeten los principios, derechos y garantías constitucionales y legales.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de
tratamiento.
ARTÍCULO 11°. DERECHOS DE LOS NIÑOS Y ADOLESCENTES: En el tratamiento se
asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
Queda proscrito el tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública. Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. ARTÍCULO 12°. DEBERES EN RELACION CON EL TRATAMIENTO DE DATOS
PERSONALES: En virtud de la presente política de tratamiento y protección de datos
personales, son deberes de CORPOSUCRE, sin perjuicio de las disposiciones previstas en
la ley:
a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas
data.
b) Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que
le asisten en virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Actualizar la información, atendiendo de esta forma todas las novedades respecto de
los datos del titular. Adicionalmente, se deberán implementar todas las medidas
necesarias para que la información se mantenga actualizada.
f) Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
g) Respetar las condiciones de seguridad y privacidad de la información del titular.
h) Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
i) Identificar cuando determinada información se encuentra en discusión por parte del
titular.
j) Informar a solicitud del titular sobre el uso dado a sus datos.
k) Informar a la autoridad de protección de datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información de los
titulares.
l) Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria
y Comercio sobre el tema en particular.
m) Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad
con lo previsto en la ley 1581 de 2012.
n) La corporación universitaria Antonio José de Sucre, procederá de acuerdo con la
normatividad vigente y la reglamentación que para tal fin expida el Gobierno Nacional,
a realizar el registro de sus bases de datos, ante el Registro Nacional de Bases de Datos
(RNBD) que será administrado por la Superintendencia de Industria y Comercio. El
RNBD, es el directorio público de las bases de datos sujetas a tratamiento que operan
en el país; y que será de libre consulta para los ciudadanos, de acuerdo con la
normatividad que para tales efectos expida el gobierno nacional.
CORPOSUCRE hará uso de los datos personales del titular solo para aquellas finalidades
para las que se encuentre facultada debidamente y respetando en todo caso la
normatividad vigente sobre protección de datos personales.
ARTICULO 13°. TRATAMIENTO DE INFORMACION DATOS SENSIBLES:
CORPOSUCRE prohíbe a sus servidores y colaboradores directos o indirectos divulgar
datos considerados como sensibles en la constitución y la ley, tales como origen racial o
étnico, preferencia política, afiliación sindical, afiliación a organizaciones sociales
gubernamentales o no, organismos de derechos humanos, convicciones religiosas,
orientación sexual, datos biométricos o de salud, etc., los cuales están sometidos a reserva
y confidencialidad, en especial cuando se trata de NIÑOS MENORES DE EDAD Y
ADOLESCENTES.
De acuerdo con nuestra política de tratamiento de datos personales, los medios a través de
los cuales CORPOSUCRE efectuara un tratamiento de la información personal de niños,
niñas y adolescentes, respetando el interés superior de los mismos y asegurando, en todos
los casos el respeto de sus derechos fundamentales y garantías que se requieran.
Cuando se requiera darle tratamiento a la información personal de menores de edad
CORPOSUCRE obtendrá la autorización correspondiente por parte de uno de los padres o
de la persona que tenga la patria potestad del menor.
ARTICULO 14°. AUTORIZACIONES Y CONSENTIMIENTO DEL TITULAR: La Ley 1581
de 2012 exige que la autorización para recolectar datos personales (dirección de correo
electrónico, teléfono, etc.) sea informada, previa y expresamente tal y como se ilustra a
continuación:
Informar lo que
ordena el artículo 12
de la ley 1581 de 2012
Obtener
autorización previa y
expresa
Recolectar datos
personales
Sin perjuicio de las excepciones previstas en la Ley, en el tratamiento de datos personales
del titular se requiere la autorización previa e informada de éste, la cual deberá ser obtenida
por cualquier medio que pueda ser objeto de consulta posterior.
Así las cosas, los obligados a cumplir esta política deberán obtener de parte del titular su
autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta
obligación no es necesaria cuando se trate de datos de naturaleza pública, tratamiento de
información para fines históricos, estadísticos o científicos en los cuales no se vincule la
información a una persona específica y datos relacionados con el Registro Civil de las
Personas.
Para obtener la autorización se deberá seguir las siguientes instrucciones:
En primer lugar, antes de que la persona autorice es necesario informarle de forma clara y
expresa lo siguiente:
El tratamiento al cual serán sometidos sus datos personales y la finalidad del
mismo.
El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando
estas versen sobre datos sensibles o sobre los datos de las niñas, niños y
adolescentes.
Los derechos que le asisten como titular previstos en el artículo 8 de la ley 1581 de
2012.
La identificación, dirección física o electrónica y teléfono de CORPOSUCRE. En
segundo lugar, obtendrá el consentimiento del titular a través de cualquier medio
que pueda ser objeto de consulta posterior.
Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento.
Si el Titular solicita copia de éstos deberán suministrárselos.
La autorización también podrá obtenerse a partir de conductas inequívocas del Titular del
Dato que permitan concluir de manera razonable que éste otorgó su consentimiento para
el tratamiento de su información. Dicha (s) conducta (s) debe (n) ser muy clara (s) de
manera que no admita (n) duda o equivocación sobre la voluntad de autorizar el tratamiento.
En ningún caso, el silencio del Titular podrá considerarse como una conducta inequívoca.
ARTÍCULO 15°. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN: La
autorización puede constar en un documento físico, electrónico, en un archivo de audio o
en cualquier otro formato que permita garantizar su posterior consulta. El contenido de la
autorización otorgada para la recolección y tratamiento del dato será emitido por
CORPOSUCRE, y será puesta a disposición del Titular previo al tratamiento de sus datos
personales, de conformidad con lo que establece la Ley 1581 de 2012.
Con el procedimiento de autorización consentida se garantiza que se ha puesto en
conocimiento del titular de los datos personales, tanto el hecho que su información personal
será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de
conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dicho. Lo
anterior con el fin de que el titular tome decisiones informadas con relación a sus datos
personales y controle el uso de información personal. La autorización contendrá lo
siguiente:
o Quién recopila (responsable o encargado)
o Qué recopila (datos que se recaban)
o Para qué recoge los datos (las finalidades del tratamiento)
o Cómo ejercer derechos de acceso, corrección, actualización o supresión de los
datos personales suministrados.
o Si se recopilan datos sensibles, y la posibilidad de no darlos a conocer.
ARTÍCULO 16°. PRUEBA DE LA AUTORIZACIÓN: CORPOSUCRE, adoptará todas las
medidas necesarias para mantener registro de la obtención de autorización por parte de los
titulares de datos personales para el tratamiento de los mismos.
ARTÍCULO 17°. DATOS RECOLECTADOS ANTES DE LA EXPEDICIÓN DEL DECRETO
1377 DE 2013:
Los responsables del tratamiento de los datos deberán informar a los titulares de los
datos ya recolectados las políticas de uso de los mismos, y cuestionar sobre el continuo
uso y manejo, lo anterior por los métodos ya mencionados en este manual.
Si para quien está a cargo del tratamiento de datos es dificultoso la ubicación e
información a cada titular de los datos, frente a los procesos que se llevaran a cabo con
los mismos, podrá implementar otros mecanismos alternos, como diarios de amplia
circulación nacional, diarios locales o revistas, página de Internet del responsable,
carteles informativos, entre otros, e informar al respecto a la Superintendencia de
Industria y Comercio, dentro de los cinco (5) días hábiles siguientes a su
implementación. Igualmente sucedería cuando para el responsable de los datos sea
imposible ubicar al titular de los mismos por omisión de datos de ubicación o cambio en
los mismos sin actualización propia.
Si en el término de treinta (30) días hábiles, después de interponer alguno de los
anteriores mecanismos, el titular de los datos no ha tenido comunicación con el
Responsable o Encargado, podrán continuar realizando el Tratamiento de los datos
contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política
de Tratamiento de la información, puesta en conocimiento de los Titulares mediante
tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier
momento su derecho y pedir la eliminación del dato.
En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones
aplicables de la Ley 1581 de 2012 y el presente Decreto. Así mismo, será necesario
que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o
compatibles con aquella o aquellas para las cuales se recabaron los datos personales
inicialmente.
Para efectos de dar cumplimiento a lo dispuesto en el artículo 9º de la Ley 1581 de 2012,
los Responsables del tratamiento de datos personales establecerán mecanismos para
obtener la Autorización de los titulares o de quien se encuentre legitimado en los términos
de la Ley. Estos mecanismos podrán ser predeterminados a través de medios técnicos que
faciliten al titular su manifestación automatizada. La Autorización podrá otorgarse conforme
a alguna de las siguientes opciones: (i) Por escrito, (ii) De forma verbal o (iii) Mediante
conductas inequívocas del titular que permitan concluir de manera razonable que otorgó la
autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
Así mismo, de conformidad a lo dispuesto en el artículo 10º del Decreto 1377 de 2013,
CORPOSUCRE publicó en su sitio web y en sus instalaciones principales el aviso de
privacidad a través del cual comunico la existencia de la presente política, informando al
respecto a la Superintendencia de Industria y Comercio. Conforme se indica en este
Decreto, si en el término de treinta (30) días hábiles a partir de la implementación del
anterior mecanismo, los titulares no contactaron al RESPONSABLE o ENCARGADO para
solicitar la supresión de sus datos personales, el RESPONSABLE y ENCARGADO podrán
continuar realizando el Tratamiento de los datos personales contenidos en sus bases de
datos para la finalidad o finalidades previstas e indicadas en la política de tratamiento de la
información.
ARTÍCULO 18°. REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DE DATOS:
El titular tendrá derecho a solicitar en cualquier momento a CORPOSUCRE, la revocatoria
de la autorización y la supresión de sus datos personales cuando:
o Considere que los mismos no están siendo tratados conforme a los principios,
deberes y obligaciones previstas en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
o Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron
recabados.
o Se haya superado el periodo necesario para el cumplimiento de los fines para los
que fueron recabados.
La supresión implica la eliminación total o parcial de la información personal de acuerdo
con lo solicitado por el Titular en los registros, archivos, base de datos o tratamientos
realizados por CORPOSUCRE. Es importante tener en cuenta que el derecho de
cancelación no es absoluto y el responsable puede negar el ejercicio del mismo en los
siguientes casos:
1. La solicitud de supresión de la información no procederá cuando el Titular tenga el
deber legal o contractual de permanecer en la base de datos.
2. No sea posible efectuar la eliminación del dato por orden de la autoridad judicial o
administrativa con competencia en el territorio Nacional.
3. Los datos sean necesarios para proteger los intereses jurídicamente tutelables del
Titular, o para garantizar el cumplimiento de una obligación legalmente adquirida
por el Titular.
ARTÍCULO 19° AVISO DE PRIVACIDAD: El aviso de privacidad es el documento físico,
electrónico o en cualquier otro formato, puesto a disposición del titular de los datos
personales, para el tratamiento de sus datos. A través de este documento se comunica al
titular de la información:
El nombre o razón social y datos de contacto del responsable del tratamiento
El tratamiento al cual serán sometidos los datos y la finalidad del mismo
Los derechos que le asisten al titular
Los mecanismos generales dispuestos por el responsable para que el titular
conozca la política de tratamiento de la información y los cambios sustanciales
que se produzcan en ella. En todos los casos, debe informar al titular como
acceder o consultar la política de tratamiento de la información.
No obstante lo anterior, cuando se recolecten datos personales sensibles, el aviso de
privacidad deberá señalar expresamente el carácter voluntario de responder a las
preguntas que se versen sobre este tipo de datos.
El aviso de privacidad de CORPOSUCRE, se encuentra disponible, entre otros medios, en
la página web www.corposucre.edu.co y el de video vigilancia en el ingreso a las
instalaciones de CORPOSUCRE.
Esta leyenda se encuentra impresa en los formularios o documentos por medio de los
cuales se recolecta información de prospectos de estudiantes, inscritos, estudiantes
admitidos, matriculados, ausentes, desertores, egresados, donantes, empleados,
proveedores y demás titulares de los datos personales que maneja CORPOSUCRE
Cuando se recolectan de manera verbal, esta leyenda es comunicada al Titular de igual
forma, y de la autorización se deja constancia a través de medios técnicos dispuestos para
el efecto.
ARTÍCULO 20°. EVENTOS EN LOS CUALES NO ES NECESARIA LA AUTORIZACIÓN
DEL TÍTULAR DE LOS DATOS PERSONALES: La autorización del titular de la
información no será necesaria en los siguientes casos:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus
funciones legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o
científicos.
e) Datos relacionados con el Registro Civil de las personas.
ARTÍCULO 21° LEGITIMACIÓN PARA EL EJERCICIO DEL DERECHO DEL TITULAR:
Los derechos de los titulares establecidos en la Ley podrán ejercerse por las siguientes
personas:
a) Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos
medios que le ponga a disposición CORPOSUCRE.
b) Por los causahabientes del titular, quienes deberán acreditar tal calidad.
c) Por el representante y/o apoderado del titular, previa acreditación de la
representación o apoderamiento.
ARTICULO 22°. TRANFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS
PERSONALES: CORPOSUCRE en cumplimiento de la misión institucional de docencia,
investigación y extensión y en consideración de sus vínculos permanentes u ocasionales
de carácter académico y administrativos con instituciones internacionales, entidades
gubernamentales internacionales, agencias de cooperación internacional podrá efectuar
transferencia y transmisión de datos personales de los titulares.
Para la transferencia internacional de datos personales de los titulares, CORPOSUCRE
tomará las medidas necesarias para que los terceros conozcan y se comprometan a
observar esta Política, bajo el entendido que la información personal que reciban,
únicamente podrán ser utilizada para asuntos directamente relacionados con
CORPOSUCRE y solamente mientras ésta dure y no podrá ser usada o destinada para
propósito o fin diferente. Para la transferencia internacional de datos personales se
observará lo previsto en el artículo 26 de la Ley 1581 de 2012.
Las transmisiones internacionales de datos personales que efectúe CORPOSUCRE, no
requerirán ser informadas al Titular ni contar con su consentimiento cuando medie un
contrato de transmisión de datos personales de conformidad al artículo 25 del Decreto 1377
de 2013.
Con la aceptación de la presente política, el Titular autoriza expresamente para transferir y
transmitir Información Personal. La información será transferida y transmitida, para todas
las relaciones que puedan establecerse con la CORPOSUCRE.
ARTÍCULO 23°. VIDEO VIGILANCIA:
CORPOSUCRE utiliza diversos medios de video-vigilancia instalados en diferentes
sitios internos y externos de nuestras instalaciones u oficinas.
CORPOSUCRE informa sobre la existencia de estos mecanismos mediante la
difusión en sitios visibles de anuncios de video-vigilancia.
La información recolectada se utilizará para fines de seguridad de las personas, los
bienes e instalaciones. Esta información puede ser empleada como prueba en
cualquier tipo de proceso ante cualquier tipo de autoridad y organización.
ARTÍCULO 24°. MEDIDAS DE SEGURIDAD APLICADAS AL TRATAMIENTO DE LAS
BASES DE DATOS: CORPOSUCRE protege la información mediante varios mecanismos
como, entre otros, los siguientes:
Capacitación del personal que ingresa a la institución acerca de la Política
de Tratamiento de datos personales y los mecanismos y protocolos de
seguridad para el tratamiento de estos.
Medidas, normas, procedimientos, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en la Ley 1581 de 2012 y el Decreto
1377 de 2013.
Funciones y obligaciones del personal.
Estructura de las bases de datos de carácter personal y descripción de los
sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Procedimientos de realización de copias de respaldo y de recuperación de
los datos.
Controles periódicos que se deban realizar para verificar el cumplimiento de
lo dispuesto en el procedimiento de seguridad que se implemente.
Medidas a adoptar cuando un soporte o documento sea transportado,
desechado o reutilizado.
El procedimiento deberá mantenerse actualizado en todo momento y deberá
ser revisado siempre que se produzcan cambios relevantes en el sistema de
información o en la organización del mismo.
El contenido del procedimiento deberá adecuarse en todo momento a las
disposiciones vigentes en materia de seguridad de los datos personales.
Protección de acceso a los datos mediante contraseñas y roles de diferentes
niveles de autoridad.
Protección de las contraseñas.
Aseguramiento del nivel de complejidad de las contraseñas de los usuarios.
Rastreo de todas las actividades realizadas con las plataformas y sus datos.
Procedimientos de recuperación y redundancia.
Almacenamiento de las copias de respaldo.
Cifrado y protección por contraseña de los computadores desde los que se
realiza la manipulación de los datos.
ARTICULO 25°. RESPONSABILIDAD DEMOSTRADA FRENTE AL TRATAMIENTO DE
DATOS PERSONALES: CORPOSUCRE adoptará las medidas necesarias para, de ser
necesario, demostrar ante la Superintendencia de Industria y Comercio (SIC) que ha
implementado medidas apropiadas y efectivas para cumplir con sus obligaciones legales
en todo lo relacionado con el tratamiento de datos personales. Dichas medidas serán
consistentes con las instrucciones que para el efecto imparta la SIC y los mandatos de los
artículos 26 y 27 del decreto 1377 de 2013.
ARTICULO 26°. CAMBIOS SUSTANCIALES DE LA PRESENTE POLÍTICA O DE LAS
AUTORIZACIONES: De conformidad con los artículos 5 y 13 del decreto 1377 de 2013,
cualquier cambio sustancial de la presente política deberá ser comunicado oportunamente
por CORPOSUCRE a los titulares de los datos de una manera eficiente antes de
implementar las nuevas políticas. Por cambios sustanciales se entenderán aquellos
referidos a la identificación del responsable y a la finalidad del tratamiento de los datos
personales. Además, CORPOSUCRE deberá obtener del titular del dato una nueva
autorización cuando el cambio se refiera a la finalidad del tratamiento.
ARTICULO 27°. FECHA DE ENTRADA EN VIGENCIA DE LA PRESENTE POLÍTICA Y PERÍODO DE VIGENCIA DE LA BASE DE DATOS: Esta política fue aprobada en cumplimiento de la Ley 1581 de 2012 y los Decretos 1377 de 2013, 886 de 2014, 1074 de 2015, y la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio razón por la cual entrará en vigencia a partir de la fecha de su expedición y publicación. La vigencia de la base de datos será el tiempo razonable y necesario para cumplir las finalidades del tratamiento teniendo en cuenta lo dispuesto en el artículo 11 del Decreto 1377 de 2013.
PUBLIQUESE Y CUMPLASE Dado en la ciudad de Sincelejo, a los treinta y un (31) días del mes de agosto de 2018
DIONISIO VELEZ WHITE LUISA GARCIA PINEDA Presidente Secretaria General